auditoría de configuración de Ids / ips [cerrado]

¿Funciona? IPS e IDS son configuraciones muy específicas. Además, el comportamiento general de cada proveedor es diferente. Algunos se abren, otros se cierran y otros simplemente fallan.

La mejor forma de auditar es:

1. Identifique qué activos / recursos están protegidos por ((IP | ID) S).
2. Documentar las configuraciones actuales. (Debe saber exactamente qué políticas se aplican a cada activo / recurso protegido). Literalmente, mapear los activos / recursos a la política.
3. Determine qué herramientas y pruebas deben ejecutarse contra los recursos / recursos.
4. Ejecuta los conjuntos e interpreta los resultados.
5. Sintoniza el dispositivo según sea necesario.
6. Date cuenta de que obtendrás resultados falsos (negativos | positivos).
7. Comprenda que la aplicación es el lugar correcto para corregir vulnerabilidades.
8. Repita 3-7 hasta que el índice de confianza sea alto o esté completamente disparado.
9. Si el índice de confianza se ha disparado por completo o si no quiere tener todo este peso sobre sus hombros y una rampa masiva, consiga expertos en el problema.

Quien sea el proveedor del sistema IDS / IPS debe proporcionar una guía documentada sobre cómo instalar, configurar y mantener el sistema para maximizar la seguridad que proporciona. Entonces debería poder auditar la configuración actual y el proceso de administración con esa documentación y, para el mantenimiento, verificar que la versión del sistema y los archivos de firmas en uso sean compatibles y estén actualizados.

Si lo anterior está en su lugar, debería poder detectar y / o prevenir intrusiones y tráfico malicioso. Luego puede ajustar el sistema para filtrar el ruido y configurar las prioridades de las alertas y decidir sobre sus procesos de respuesta, investigación y escalamiento.